1. WHOAMI
Markov Pavel:
Found zero-day in Windows (execute arbitrary
code by manipulating with folder settings)
Just a developer
Agievich Igor:
Found vulnerability in Outpost Security Suite
(2012), VirtualBox (2011), vBulletin (2005-2006)
Not even a developer :)
2. С чего всё началось
Нашей командой создавалось корпоративное приложение
для синхронизации данных с облаком
3. Состав приложения
Клиентское ПО. Его задача -
синхронизировать данные (файлы,
переписку) с облаком. Загружать
обновления, логировать возникшие ошибки
(сбор информации о системе, код ошибки и
отправка на веб-сервер).
Скрипты web-сервера. Задача – управлять
потоком данных от клиентов, и так же
логирование ошибок. Логирование ошибок
включало в себя проверку корректности
HTTP-запроса в соответствии с правилами и
сохранение тела ошибочного запроса.
4. Через некоторое время в логах
сервера
Remote IP: 109.74.154.83
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
5. Пробиваем данные о
подозрительном IP
General Information
Hostname
109-74-154-83.ptr.eset.com
IP
109.74.154.83
Preferable MX
a.mx.eset.com
6. Другие записи логов
Remote IP: 193.71.68.2
User-agent : Mozilla/5.0 (Windows; U; Windows NT 6.1; ru;
rv:1.9.2.4) Gecko/20100513 Firefox/3.6.4
Nslookup
nslookup 193.71.68.2
Non-authoritative answer:
2.68.71.193.in-addr.arpa name = norman.norman.no
7. Следующий лог
Remote IP: 150.70.172.108
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.1)
HTTP_X_FORWARDED_FOR : 150.70.172.108
Делаем привычный запрос nslookup
$ nslookup 150.70.172.108
Non-authoritative answer:
108.172.70.150.in-addr.arpa name = 150-70-172-
108.trendmicro.com
8. И опять trendmicro
Remote IP: 150.70.64.197
User-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1)
HTTP_X_FORWARDED_FOR : 150.70.64.197
Обратите внимание: в HTTP-запросах заполнены только
поля User-agent. И, иногда, HTTP_ACCEPT или
HTTP_ACCEPT_LANGUAGE. Чего маловато для
настоящих браузеров.
9. Что всё это значит?
Кто-то взломал сети антивирусников и использует их
как прокси
Антивирус (или средство автоматического анализа
сэмплов) логирует запросы подозрительного ПО к
удаленным серверам
На этом этапе наши идеи носят характер научного тыка и
не сильно подкреплены доказательной базой. Но и
история на этом не заканчивается.
10. Логи ошибок от клиентского ПО
Результаты выполнения команд: ipconfig,dir C:, dir D:,
systeminfo, tasklist (для упрощения воссоздания
окружения при отлове бага).
Результат ipconfig с одного из клиентов:
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VMware Accelerated AMD PCNet
Adapter
Physical Address. . . . . . . . . : 00-50-56-8E-01-10
11. Результат dir C: с другого
клиента
Directory of c:
04/16/2010 12:25 0 AUTOEXEC.BAT
04/16/2010 12:25 0 CONFIG.SYS
04/16/2010 12:27 <DIR> Documents and Settings
04/12/2012 13:17 459,982 A0iYkCc.exe
04/16/2010 12:27 <DIR> Program Files
12/11/2011 13:02 <DIR> WINDOWS
3 File(s) 459,982 bytes
3 Dir(s) 8,396,890,112 bytes free
12. Результат systeminfo
Название ОС: Microsoft Windows XP Professional
Версия ОС: 5.1.2600 Service Pack 3 Build 2600
Дата установки: 2010-4-29, 5:35:19
Изготовитель системы: Red Hat
Модель системы: KVM
Тип системы: X86-based PC
Процессор(ы): [01]: x86 Family 6 Model 6 Stepping 3
AuthenticAMD ~2608 Mhz
Версия BIOS: QEMU - 1
13. Результат tasklist
System Idle Process 0 Console 0 28 K
Running NT AUTHORITYSYSTEM
python.exe 1776 Console 0 4,412 K
Running Admintrator
pythonw.exe 1820 Console 0 6,352 K
Running Admintrator
hookanaapp.exe 1316 Console 0 5,048
K Running Admintrator
14. Ещё из логов в тот же день
Remote IP: 69.164.111.198
User-agent : Mozilla/4.0 (compatible; MSIE 8.0; Windows NT
6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727;
.NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center
PC 6.0; MDDC
whois возвращает строчку
OrgName: Sungard Network Solutions, Inc.
Вот их сайт: http://www.sungard.com
15. Неведома зверушка из Германии
Remote IP: 91.20.15.86
User-agent : Mozilla/4.0 (compatible; MSIE 7.0; Windows NT
5.1; .NET CLR 2.0.50727)
Из whois:
person: Security Team
remarks: * Hack Attacks, Illegal Activity, Violation, Scans,
Probes, etc.
16. С чего такой интерес со стороны
АВ лабораторий?
Функционал ПО, который может оказаться
подозрительным:
1. Сбор информации о системе
2. Реализация удалённого обновления
(download and exec — как зловред)
17. Выводы
1. Антивирусные лаборатории используют различные
среды виртуализации при автоматическом
детектировании подозрительного ПО. Также совершают
автоматический запрос к серверам управления прямо
из своих сетей, без использования VPN/прокси.
2. HTTP-запросы делаются не настоящим браузером. Это
всё может вовремя предупредить владельцев ботнета и
привести к своевременному переводу работающей
части бот-сети на другой сервер управления.
3. Некоторые антивирусные лаборатории передают
информацию о подозрительном ПО каким-то сторонним
организациям, вроде “Sungard Network Solutions”.